Инциденттерге жооп берүү системалары

IRP (Incident Response Platform) жана SOAR (Security Orchestration, Automation and Response) системалары — бул банкка инциденттерге жооп кайтаруу процесстерин формалдаштырууга жардам берген куралдар: каттоодон баштап калыбына келтирүүгө чейин. Платформалар SIEM, DLP, EDR, IAM, firewall жана башка системалар менен интеграцияланат, коркунуч жаралганда плейбуктарды (нускамаларды) автоматтык түрдө аткарууну камсыздайт.

Негизги функциялары:

• Инциденттерди SIEM, IDS/IPS, EDR жана башка булактардан сигналдар аркылуу аныктоо;
• Критикалуугу, тиби, таасир аймагы жана мүмкүн болгон чыгым боюнча классификациялоо;
• Автоматтык реакцияларды аткаруу: хостту изоляциялоо, IP блокировка, жеткиликтүүлүктү кайтарып алуу ж.б.;
• Билдирүү, иликтөө, эскалация жана документтештирүү процедураларын ишке киргизүү;
• Инциденттерди жашоо цикли боюнча башкаруу (incident lifecycle management);
• Жооп кайтаруу тарыхын сактоо, отчетторду түзүү, RCA (root cause analysis) колдоо;
• Тышкы CERT/SOC менен интеграция жана NIST, ISO 27035, SWIFT CSP стандарттарына ылайыктык.

Банк ичинде система менен ким иштейт:

• SOC / CSIRT (оперативдүү жооп берүү тобу)
• Маалыматтык коопсуздук кызматы
• ИТ-инфраструктура жана DevSecOps
• Ички аудит кызматы жана тобокелдик-менеджмент
• Digital команда жана системанын ээлери (бизнес-продукттардагы инциденттерде)

Системанын ээлери:

• Chief Information Security Officer (CISO) — стратегиялык жооп кайтаруу
• SOC-менеджер — оперативдүү башкаруу жана анализ
• CIO/CTO — инфраструктура, интеграциялар, калыбына келтирүү боюнча SLA